Log in
Sign up
The Europe Artificial Intelligence Act: A Plain-English Operating Manual for Providers and Deployers

Sections

El reglamento europeo de inteligencia artificial: manual operativo para proveedores e implementadores

Lo esencial

  • El reglamento europeo de inteligencia artificial es el Reglamento (UE) 2024/1689, la primera ley horizontal del mundo sobre IA. Se aplica directamente en los 27 Estados miembros sin transposición nacional.
  • Funciona sobre una pirámide de riesgo de cuatro niveles: inaceptable (prohibido desde el 2 de febrero de 2025), alto (la mayor parte de las obligaciones), limitado (deberes de transparencia) y mínimo (sin obligación específica).
  • Cubre cuatro roles de operador (proveedor, implementador, importador, distribuidor) más un carril separado para los modelos de IA de propósito general (GPAI). Su rol determina los artículos que le vinculan.
  • Las fechas son explicitas y escalonadas: 2 de febrero de 2025, 2 de agosto de 2025, 2 de agosto de 2026, 2 de agosto de 2027, 2 de agosto de 2028.
  • Las multas máximas alcanzan los 35 millones de euros o el 7 % del volumen de negocios mundial anual por prácticas prohibidas, y 15 millones o 3 % para la mayoría de las demás obligaciones.

Qué es realmente el reglamento europeo de IA

El reglamento europeo de inteligencia artificial, formalmente Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, se firmó el 13 de junio de 2024 y se publicó en el Diario Oficial el 12 de julio de 2024. Entró en vigor el 1 de agosto de 2024 y será plenamente aplicable el 2 de agosto de 2026, con varios hitos previos y posteriores que cartografiamos más adelante (Comisión Europea).

Se trata de un reglamento, no de una directiva. La distinción tiene consecuencias prácticas: el texto se aplica directamente en cada Estado miembro, sin trasposición. Un texto único, una red única de reguladores, las mismas obligaciones de Lisboa a Tallin.

El artículo 1(2) sintetiza el objeto en términos claros. El reglamento fija normas armonizadas para la introducción de sistemas de IA en el mercado de la Unión, prohíbe determinadas prácticas, impone requisitos específicos a los sistemas de alto riesgo y obligaciones a sus operadores, prevé normas de transparencia para ciertos sistemas, organiza la vigilancia del mercado y la gobernanza y respalda la innovación (AI Act Service Desk).

El ámbito es deliberadamente amplio. El artículo 2 abarca a cualquier proveedor que introduzca un sistema de IA o un modelo GPAI en el mercado de la Unión, con independencia de su sede, y a cualquier implementador establecido o presente en el territorio de la Unión. Determinante: el artículo 2(1)(c) extiende el reglamento a proveedores e implementadores fuera de la UE en cuanto la salida del sistema se utilice en territorio unionalmente. Un proveedor estadounidense cuyo modelo puntua solicitudes de crédito en Madrid queda dentro del ámbito, incluso sin oficina europea.

Quedan algunas exclusiones. El reglamento no se aplica a los sistemas de IA desarrollados y utilizados exclusivamente con fines militares, de defensa o de seguridad nacional, a la investigación y el desarrollo científicos previos a la introducción en el mercado, ni a la actividad estrictamente personal y no profesional de personas físicas. Son exclusiones estrechas. La mayor parte de los usos empresariales cae bajo el reglamento.

La arquitectura por nivel de riesgo en un solo esquema

El reglamento organiza los sistemas de IA en cuatro capas, cada una con sus propios deberes.

Riesgo inaceptable: prácticas prohibidas

El artículo 5 enumera las prácticas consideradas incompatibles con los derechos fundamentales de la Unión. Son ilegales desde el 2 de febrero de 2025. La lista incluye la manipulación subliminal que altere sustancialmente la conducta y cause daño, la explotación de vulnerabilidades vinculadas a la edad o a la discapacidad, la puntuación social por autoridades públicas, la extracción no dirigida de imágenes faciales para crear bases de reconocimiento y la identificación biométrica remota en tiempo real en espacios públicos por parte de las fuerzas de seguridad (con excepciones muy estrechas).

Si un sistema entra en esta lista, ninguna evaluación de riesgos, ninguna documentación y ninguna supervisión humana lo salvará. O suspende su despliegue, o se expone a las sanciones más altas del reglamento.

Riesgo alto: aquí vive la mayoría de las obligaciones

Un sistema es de alto riesgo en dos supuestos. Primero, cuando es un componente de seguridad de un producto sujeto a la legislación europea de armonización del anexo I (máquinas, juguetes, productos sanitarios, vehículos, ascensores). Segundo, cuando entra en alguno de los ocho ámbitos del anexo III: biometría, infraestructuras críticas, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios esenciales privados y públicos, aplicación de la ley, migración y control fronterizo, administración de justicia y procesos democráticos (Anexo III).

El artículo 6(3) ofrece a los proveedores una vía de salida estrecha por autoevaluación cuando su sistema del anexo III se limita a ejecutar una tarea procedimental o a mejorar el resultado de una actividad humana anterior. El artículo 6(4) lo precisa: el proveedor que llega a esa conclusión debe documentar por escrito la evaluación antes de la introducción en el mercado y registrar el sistema en la base de datos de la Unión con arreglo al artículo 49(2). La salida no es un atajo. Es una decisión trazada, revisable por las autoridades.

Riesgo limitado: deberes de transparencia

El artículo 50 añade una capa fina de obligaciones informativas a los chatbots, a los sistemas de reconocimiento de emociones, a la categorización biométrica y a los contenidos sintéticos (deepfakes). Los usuarios finales deben saber que están interactuando con una IA, y los medios generados por IA deben ser identificables técnicamente como tales.

Riesgo mínimo: sin obligación específica

Filtros antispam, sistemas de recomendación en contextos no esenciales, IA en videojuegos. El reglamento solo invita a códigos de conducta voluntarios. Aquí se ubica la mayor parte de la IA empresarial, por lo que la lectura en cuatro niveles es decisiva: no se imponga un régimen más estricto del que la ley exige.

¿Es usted proveedor, implementador, importador o distribuidor?

El error más costoso al iniciar un programa de cumplimiento del reglamento de IA es saltarse la clasificación de roles y presumir «nosotros somos el implementador». El rol determina las obligaciones más que la tecnología subyacente.

  • Proveedor: entidad que desarrolla un sistema de IA, o lo hace desarrollar, y lo introduce en el mercado o lo pone en servicio con su propio nombre o marca, gratuitamente o a cambio de un precio. Artículo 3(3).
  • Implementador: entidad que utiliza un sistema de IA bajo su autoridad, salvo en el uso estrictamente personal y no profesional. Artículo 3(4).
  • Importador: persona física o jurídica establecida en la Unión que introduce en el mercado un sistema que lleva el nombre o la marca de una entidad de un tercer país.
  • Distribuidor: cualquier otro actor de la cadena de suministro que ponga el sistema a disposición sin modificarlo.

Una misma organización puede ser proveedor de un sistema e implementador de otro. La cartografía se hace sistema por sistema, no empresa por empresa.

Tres casos límite atrapan a la mayoría de los equipos. Primero, el marcado blanco: si comercializa con su marca un sistema desarrollado por un tercero, el artículo 25(1)(a) le convierte en proveedor, con todas las obligaciones de documentación, evaluación de conformidad y vigilancia poscomercialización. Segundo, la modificación sustancial: si reentrena, ajusta o reorienta un sistema de alto riesgo o un modelo GPAI hacia una nueva finalidad prevista, el artículo 25(1)(c) le convierte igualmente en proveedor. Tercero, el fine-tuning de un modelo GPAI: tomar un modelo GPAI abierto o licenciado y adaptarlo a una finalidad de alto riesgo le coloca en la categoría de proveedor de un sistema de alto riesgo, no de mero implementador.

Cartografíe cada sistema de IA de su cartera contra estos cuatro roles antes de redactar el primer plan de cumplimiento. Solo después conecte las obligaciones.

Qué deben hacer los proveedores de sistemas de alto riesgo

Los proveedores cargan con el peso más pesado. El capítulo III, sección 2, apila las obligaciones.

El artículo 9 exige un sistema documentado de gestión del riesgo que cubra todo el ciclo de vida, no una evaluación puntual previa al lanzamiento. Riesgos identificados, evaluados, reevaluados tras la introducción en el mercado, mitigados y reanalizados.

El artículo 10 regula los datos y su gobernanza. Los conjuntos de entrenamiento, validación y prueba deben ser pertinentes, suficientemente representativos, en la medida de lo posible libres de errores y apropiados a la finalidad prevista. Los controles estadísticos de sesgo son explícitos.

El artículo 11 exige documentación técnica previa a la introducción en el mercado. El anexo IV enumera sus contenidos: descripción general, proceso de diseño y desarrollo, datos empleados, mecanismos de seguimiento y control, medidas de gestión del riesgo, gestión de cambios. El artículo 12 añade el registro automático de eventos durante el funcionamiento, conservado al menos seis meses.

El artículo 13 obliga a la transparencia hacia los implementadores: instrucciones de uso claras, exactitud esperada, propiedades de robustez y ciberseguridad, limitaciones conocidas y condiciones de uso en las que el sistema es apto para la finalidad. El artículo 14 exige medidas de supervisión humana integradas en el diseño. El artículo 15 fija los requisitos de exactitud, robustez y ciberseguridad.

Luego entra la maquinaria de conformidad. El artículo 16 resume las obligaciones generales del proveedor. El artículo 17 prescribe un sistema de gestión de la calidad. El artículo 43 fija la vía de evaluación de la conformidad (control interno para la mayoría de los sistemas del anexo III, evaluación por tercero para ciertos casos biométricos y para cualquier sistema integrado en un producto regulado por la legislación NLF). Superada la evaluación, el proveedor redacta una declaración UE de conformidad (artículo 47), coloca el marcado CE (artículo 48) y registra el sistema en la base de datos de la Unión (artículo 49). La vigilancia poscomercialización (artículo 72) y la notificación de incidentes graves (artículo 73) acompañan al sistema durante toda su vida útil.

Qué deben hacer los implementadores

Las obligaciones del implementador son menos numerosas pero operativamente más pesadas, porque son quienes hacen funcionar el sistema en producción.

El artículo 26 fija los deberes principales: usar el sistema conforme a las instrucciones, confiar la supervisión humana a personas físicas competentes, garantizar que los datos de entrada son pertinentes y suficientemente representativos de la finalidad, supervisar el funcionamiento y suspender el uso ante riesgos del artículo 79.

El artículo 26(6) obliga al implementador a conservar al menos seis meses los registros automatizados, salvo que la normativa sectorial exija más. El artículo 26(7) exige la información previa a los trabajadores antes de desplegar un sistema de alto riesgo en el centro de trabajo.

El artículo 27 impone una evaluación de impacto sobre los derechos fundamentales (FRIA) a un subconjunto preciso de implementadores: organismos de derecho público, operadores privados que presten servicios públicos y explotadores de sistemas de alto riesgo empleados en la calificación crediticia o en la tarificación de seguros de vida y salud. La FRIA recoge la finalidad prevista, las categorías de personas afectadas, los riesgos previsibles para los derechos fundamentales, las medidas de supervisión humana y las acciones que se aplicarán si los riesgos se materializan. No es una simple evaluación de impacto en protección de datos.

El artículo 4 fija una base que se aplica a todo implementador de cualquier sistema de IA, no solo a los de alto riesgo: la alfabetización en IA del personal que opera o utiliza estos sistemas. La obligación entró en vigor el 2 de febrero de 2025 junto con las prohibiciones. Es exigible hoy. La AEPD publicó en 2025 sus primeras orientaciones sobre la articulación entre la alfabetización en IA del reglamento europeo y las obligaciones del RGPD.

Modelos de IA de propósito general: la segunda vía regulatoria

El capítulo V crea una vía paralela para los modelos GPAI, definidos en el artículo 3(63) como modelos que muestran una generalidad significativa y son capaces de ejecutar con competencia una amplia variedad de tareas distintas. El artículo 3(66) extiende la misma lógica a los sistemas GPAI construidos sobre ellos.

Los proveedores GPAI afrontan tres niveles de obligaciones. El artículo 53 cubre a todos los proveedores: mantener documentación técnica actualizada del modelo, proporcionar a los proveedores aguas abajo la información necesaria para su propio cumplimiento, aplicar una política de derechos de autor alineada con la exclusión voluntaria prevista en la Directiva (UE) 2019/790 sobre minería de textos y datos, y publicar un resumen suficientemente detallado de los contenidos de entrenamiento.

El artículo 55 añade obligaciones a los modelos GPAI con riesgo sistémico. La presunción utiliza la escala computacional como indicador: un presupuesto de entrenamiento superior a 10^25 operaciones en coma flotante activa la clasificación sistémica. Estos modelos deben someterse a evaluaciones de vanguardia, valorar y mitigar los riesgos sistémicos a escala unionalmente, rastrear y notificar incidentes graves a la Oficina de IA y garantizar una protección de ciberseguridad adecuada.

El tercer nivel es voluntario pero práctico: el Código de buenas prácticas GPAI, finalizado en 2025, otorga a sus firmantes una presunción de conformidad.

Dos consecuencias operativas para las organizaciones aguas abajo. Primera, el fine-tuning desplaza la responsabilidad. Un banco que ajusta un modelo GPAI para convertirlo en motor de calificación crediticia se convierte en proveedor de un sistema de alto riesgo conforme al artículo 25 y hereda toda la pila del capítulo III, sección 2. Segunda, los deberes de la cadena de información del artículo 53(1)(b) obligan a los proveedores GPAI a entregarle un dosier documental utilizable. Exíjalo desde la fase de compra.

El calendario de cumplimiento que conviene planificar de verdad

El artículo 113 fija un calendario de aplicación escalonado. Cinco fechas estructuran el plan.

  • 2 de febrero de 2025: se aplican las prohibiciones del artículo 5 y el deber de alfabetización en IA del artículo 4. Audite primero la cartera para identificar usos prohibidos; cualquier sistema afectado debe haber sido retirado antes de esta fecha.
  • 2 de agosto de 2025: se aplican las obligaciones GPAI (capítulo V), la arquitectura de gobernanza (Oficina de IA, Comité de IA, autoridades nacionales competentes) entra en funcionamiento y el marco sancionador (artículo 99) se hace ejecutable para las obligaciones ya vigentes.
  • 2 de agosto de 2026: la mayor parte del reglamento pasa a ser aplicable. Obligaciones sobre los sistemas de alto riesgo del capítulo III, sección 2, deberes de transparencia del artículo 50, base de datos de la Unión y vías de evaluación de la conformidad. La mayoría de los equipos planifica sobre esta fecha.
  • 2 de agosto de 2027: los modelos GPAI introducidos en el mercado antes del 2 de agosto de 2025 deben alcanzar la conformidad plena. Se cierra la ventana de cortesía.
  • 2 de agosto de 2028: transición ampliada para los sistemas de alto riesgo integrados en productos regulados conforme al anexo I, sección A (máquinas, productos sanitarios, diagnósticos in vitro, etc.).

La naturaleza escalonada significa que una misma cartera de IA puede tener obligaciones activas hoy, más a partir del próximo agosto y una última oleada en 2028. Planifique por oleadas, no por un Big Bang.

Sanciones y aplicación

El artículo 99 fija tres tramos de sanciones. Prácticas prohibidas: hasta 35 millones de euros o el 7 % del volumen de negocios mundial anual del ejercicio anterior, prevaleciendo el importe más elevado. La mayor parte de las demás obligaciones (requisitos de alto riesgo, transparencia, poscomercialización): hasta 15 millones o 3 % del volumen de negocios. Información engañosa a las autoridades: hasta 7,5 millones o 1 %.

Para pymes y empresas emergentes, el importe aplicable es el menor de los dos, no el mayor. El legislador calibró este punto para no aplastar a los actores pequeños manteniendo intacta la disuasión para los hyperscalers.

La aplicación se despliega en tres capas. La Oficina de IA, alojada en la DG CONNECT, dispone de poder de aplicación directa sobre los proveedores GPAI desde el 2 de agosto de 2026. Las autoridades nacionales competentes, designadas por cada Estado miembro, vigilan los sistemas de IA en su territorio. En España, la AESIA asume ese papel. El Consejo Europeo de IA coordina la red, armoniza la práctica y emite dictámenes sobre clasificaciones controvertidas. El Supervisor Europeo de Protección de Datos atiende a las instituciones de la Unión.

Los artefactos de gobernanza que el reglamento le obliga a producir

El reglamento se estructura en torno a documentos que debe poder mostrar a demanda. Si se operacionaliza el texto como una lista de artefactos, el resto del programa se ordena por sí solo.

  • Expediente de gestión del riesgo (artículo 9): registro vivo de riesgos identificados, riesgos residuales, medidas de mitigación y justificación de las aceptaciones.
  • Documentación técnica (artículo 11 + anexo IV): dosier previo a la introducción en el mercado que el proveedor entrega al organismo de evaluación y a las autoridades a petición.
  • Registros automáticos (artículo 12): conservados seis meses como mínimo, inmutables, consultables.
  • Instrucciones de uso (artículo 13): manual destinado al implementador con límites, exactitud y requisitos de supervisión humana.
  • Documentación del sistema de gestión de la calidad (artículo 17): espina dorsal organizativa del proveedor, con responsabilidades, escalados y recursos.
  • Declaración UE de conformidad (artículo 47) y registros del marcado CE (artículo 48).
  • Registro en la base de datos de la Unión (artículo 49): la ficha pública de los sistemas de alto riesgo.
  • Plan de vigilancia poscomercialización (artículo 72) y notificaciones de incidentes graves (artículo 73).
  • Evaluación de impacto sobre derechos fundamentales (artículo 27): dosier del lado del implementador.
  • Registros del programa de alfabetización en IA (artículo 4): planes formativos y prueba de finalización.

Quien posee el artefacto posee la obligación. Cartografíe cada uno a una dirección antes del lanzamiento: Asesoría Jurídica lleva la declaración de conformidad, Riesgos lleva la FRIA, MLOps lleva los registros, RR. HH. lleva la alfabetización en IA, Compras lleva la cadena documental GPAI.

Preguntas frecuentes

¿Mi chatbot es de alto riesgo según el reglamento europeo de IA? Un chatbot generalista para atención al cliente suele caer en el riesgo limitado y solo activa el deber de transparencia del artículo 50 (informar al usuario de que dialoga con una IA). Pasa a alto riesgo cuando se inserta en un caso de uso del anexo III, por ejemplo cribado de candidaturas o decisión de acceso a una prestación pública. La clasificación depende de la finalidad prevista, no del modelo subyacente. Mismo chatbot, distinto despliegue, distinto nivel.

¿Se aplica el reglamento a una empresa estadounidense sin oficina en la UE? Sí, siempre que la salida del sistema de IA se utilice en la Unión. El artículo 2(1)(c) atrae a proveedores e implementadores de terceros países tan pronto como su salida llega al territorio de la Unión. Un proveedor estadounidense que puntúa solicitudes de crédito para un banco español queda dentro. Debe designar un representante autorizado en la Unión conforme al artículo 22 y cumplir las obligaciones de proveedor.

¿Cuándo se aplica la ley a un modelo entrenado antes de agosto de 2025? Los modelos GPAI introducidos en el mercado antes del 2 de agosto de 2025 disponen de un período transitorio y deben alcanzar la conformidad plena a más tardar el 2 de agosto de 2027. Los sistemas de IA ya en servicio antes del 2 de agosto de 2026 no se capturan retroactivamente, pero cualquier modificación sustancial posterior a esa fecha activa la aplicación integral.

¿Qué ocurre si afino un modelo GPAI? ¿Me convierto en proveedor? Depende del resultado. Afinar un modelo GPAI para transformarlo en un sistema con una nueva finalidad prevista le convierte en proveedor de ese sistema conforme al artículo 25. Si la nueva finalidad es de alto riesgo (puntuación crediticia, selección de personal, triaje médico), asume íntegramente el capítulo III, sección 2. El considerando 109 y el artículo 25(2) enmarcan la prueba.

¿Los modelos de código abierto están exentos? Parcialmente. El artículo 2(12) excluye los componentes de IA libres y de código abierto de la mayoría de las obligaciones, con salvedades. La exención no abarca los modelos GPAI con riesgo sistémico, los sistemas utilizados como IA de alto riesgo ni los casos que entren en las prohibiciones del artículo 5. El código abierto no es un salvoconducto, sino un refugio estrecho.

¿Cómo se articula el reglamento de IA con el RGPD? Ambos reglamentos se aplican cumulativamente. El RGPD rige el tratamiento de datos personales; el reglamento de IA rige el propio sistema de IA. Los artículos 26(7) y 27 remiten expresamente a la evaluación de impacto relativa a la protección de datos del RGPD. Una IA de alto riesgo que trate datos personales necesita una EIPD conforme al artículo 35 del RGPD y, en su caso, una FRIA conforme al artículo 27 del reglamento de IA. El Comité Europeo de Protección de Datos publicó en 2025 sus orientaciones para combinar ambas evaluaciones sin duplicar pruebas.

¿Qué relación hay entre ISO 42001 y el reglamento europeo de IA? ISO/IEC 42001 es una norma voluntaria de sistema de gestión de la IA. CEN-CENELEC está preparando normas europeas armonizadas (la familia prEN 18228 y la base terminológica prEN 18282) que, una vez publicadas, conferirán una presunción de conformidad a determinados artículos del reglamento conforme al artículo 40. Adoptar ISO 42001 hoy es un paso intermedio creíble: la norma cubre buena parte de los controles de gestión que la futura EN armonizada exigirá.

Conclusión

El reglamento europeo de IA no es una sola fecha. Es un calendario en cinco fechas, cuatro roles de operador, una pirámide de riesgo de cuatro niveles, una segunda vía para modelos de propósito general y aproximadamente una docena de artefactos nombrados que debe poder producir a petición. Los equipos que tratan el texto como un objeto jurídico que se lee pierden el sentido. Los equipos que lo tratan como un manual operativo, rol por rol, sistema por sistema, artefacto por artefacto, cierran el programa sin sorpresas.

Si usted dirige una cartera de IA a escala europea, empiece por la clasificación de roles, conecte las obligaciones sistema por sistema, construya la lista de artefactos como un backlog y reparta el trabajo a lo largo de los hitos fechados. AI Sigil está diseñada precisamente en torno a este modelo operativo: visite la plataforma AI Sigil para conocer el marco de gobernanza que proyecta las obligaciones del reglamento sobre los artefactos que su equipo debe producir.

Elena Vargas

El reglamento europeo de inteligencia artificial: manual operativo para proveedores e implementadores

El reglamento europeo de IA, descodificado por rol. Proveedor, implementador, GPAI: quién debe hacer qué, con qué plazo, con qué artefacto de gobernanza.

Leyes de inteligencia artificial en 2026: el mapa global de cumplimiento

¿Proveedor, responsable del despliegue o modelo GPAI? Así encajan el Reglamento europeo de IA, las leyes de EE.UU., NIST AI RMF e ISO 42001 en 2026.

Marco de gobernanza de la IA: la guía completa

Compara NIST AI RMF, ISO 42001, el Reglamento IA y los principios OCDE. Descubre qué marco se adapta a tu organización y cómo implementarlos juntos.

Human-in-the-Loop vs Human-on-the-Loop: guía de supervisión de la IA

Elegir entre human-in-the-loop y human-on-the-loop: 7 ejes de decisión, lectura del artículo 14 del Reglamento de IA y anclaje en ISO/IEC 42001.

Marcos de gobernanza de la IA: NIST AI RMF, ISO 42001, Reglamento de IA y principios OCDE (2026)

NIST AI RMF, ISO/IEC 42001, Reglamento de IA y principios OCDE comparados, con mapeo de controles y árbol de decisión para elegir el marco adecuado.

ISO 42001 no cubre el Reglamento de IA: la pila de normas que realmente necesita

Una certificación ISO 42001 no le pone en regla con el Reglamento de IA. Estas son las normas armonizadas que cuentan de verdad y cómo desplegarlas.